Déclaration de confidentialité
Cette page décrit, de manière transparente, les traitements de données personnelles réalisés dans le cadre du site processqse.ch et de la plateforme ProcessQSE, conformément à la loi suisse sur la protection des données (nLPD) et, le cas échéant, au RGPD.
Responsable du traitement
L’éditeur et exploitant du site processqse.ch et de la plateforme ProcessQSE est :
ProcessQSE Sàrl (société à responsabilité limitée de droit suisse, en cours de constitution)
Siège : Lausanne (canton de Vaud), Suisse
Représentant : Julien Delaval, gérant
E-mail : contact@processqse.ch
L’adresse postale exacte et le numéro IDE seront ajoutés dès l’immatriculation de la société au registre du commerce.
Qui est responsable de quoi (responsable vs sous-traitant)
Pour les données métier qu’une organisation cliente saisit dans ses modules QSE (processus, dangers, accidents, audits, formations, etc.), l’organisation cliente est le responsable du traitement et ProcessQSE agit comme sous-traitant, sur ses instructions.
Un contrat de sous-traitance des données (DPA), conforme à la nLPD et au RGPD, est disponible sur demande pour encadrer cette relation. Pour les données liées à la gestion du compte (identité des utilisateurs invités, facturation), ProcessQSE agit comme responsable du traitement.
Données traitées
Selon l’usage, les catégories de données suivantes peuvent être traitées :
- données d’identification et de contact (nom, prénom, e-mail professionnel, fonction, organisation, équipe, rôle) ;
- données de connexion et de session nécessaires à l’authentification (identifiant, horodatage, adresse IP) ;
- données métier saisies dans les modules QSE : processus, dangers, audits, formations, environnement, documents ;
- données relatives aux accidents et presqu’accidents pouvant inclure des données sensibles au sens de l’art. 5 nLPD (informations de santé : siège et gravité des lésions), uniquement lorsque l’organisation cliente choisit de les saisir ;
- données techniques de sécurité et journaux d’erreurs (sans cookies ni données nominatives — voir « Suivi des erreurs »).
Finalités du traitement
- fournir l’accès à la plateforme et gérer les droits des utilisateurs ;
- héberger et sécuriser les données QSE des organisations clientes ;
- assurer la maintenance, le support, le diagnostic et l’amélioration continue du service ;
- gérer les invitations, les accès d’évaluation, la relation commerciale et la facturation ;
- respecter nos obligations légales, réglementaires et contractuelles.
Aucune donnée n’est utilisée à des fins de publicité, de profilage commercial ou de revente à des tiers.
Cadre légal applicable
Le traitement est effectué conformément au droit suisse, en particulier à la loi fédérale révisée sur la protection des données (nLPD) en vigueur depuis le 1ᵉʳ septembre 2023. Lorsque des organisations clientes sont soumises au RGPD, celui-ci s’applique cumulativement, l’organisation cliente restant responsable du traitement pour ses propres données métier.
Localisation des données
Les données sont hébergées en Suisse, à l’exception de services techniques européens limités :
- Application (serveur) : OVH — Zurich, Suisse ;
- Base de données et stockage : Supabase — Zurich, Suisse ;
- Authentification : ZITADEL — Suisse ;
- Suivi des erreurs applicatives : auto-hébergé sur notre serveur — Suisse ;
- E-mails transactionnels (invitations, notifications) : Resend — Union européenne (Irlande).
Aucun transfert de données personnelles vers les États-Unis n’a lieu dans le cadre opérationnel normal du service.
Destinataires et sous-traitants
Les données peuvent être traitées par des prestataires techniques agissant pour notre compte, soumis à des obligations de protection des données équivalentes :
- OVH — hébergement du serveur applicatif (Suisse) ;
- Supabase — base de données, stockage, fonctions (Suisse) ;
- ZITADEL — authentification et SSO (Suisse) ;
- Resend — envoi des e-mails transactionnels (UE) ;
- GitHub — hébergement du code source, sans données personnelles des clients (États-Unis).
La liste à jour des sous-traitants est tenue à disposition des clients. Tout ajout ou remplacement est communiqué avec préavis dans le cadre du DPA.
Durée de conservation
- données du compte et données métier : pendant toute la durée du contrat ;
- après la fin du contrat : restitution (export) et/ou suppression sécurisée dans un délai de 30 jours, sur demande ;
- journaux techniques (accès, audit) : 12 mois glissants ;
- sauvegardes : dump hebdomadaire chiffré conservé hors-site ; les sauvegardes expirent naturellement après leur cycle.
Les organisations clientes restent responsables de la durée de conservation des données métier qu’elles choisissent d’introduire.
Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles à l’état de l’art, notamment :
- cloisonnement par organisation appliqué par la base de données elle-même (Row Level Security), prouvé par des tests d’isolation automatisés ;
- chiffrement en transit (TLS) et au repos ;
- authentification forte (2FA) côté administration, sessions à expiration, gestion fine des rôles ;
- protection anti-intrusion (limitation de débit, bannissement automatique) ;
- sauvegardes chiffrées hors-site et procédure de restauration testée ;
- surveillance continue et veille de sécurité sur les composants logiciels.
Droits des personnes concernées
Toute personne concernée dispose, selon le droit applicable, des droits suivants :
- droit d’accès aux données la concernant ;
- droit de rectification des données inexactes ;
- droit à l’effacement (« droit à l’oubli »), sous réserve des obligations légales ;
- droit à la limitation et droit d’opposition ;
- droit à la portabilité (obtenir ses données dans un format structuré).
Une partie de ces droits peut être exercée directement par l’administrateur de l’organisation via les outils de la plateforme (consultation, modification, export, suppression). Pour toute autre demande, écrivez à contact@processqse.ch ; nous répondons dans un délai raisonnable. Vous pouvez également saisir le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Cookies
Le site et la plateforme n’utilisent que des cookies strictement nécessaires au fonctionnement : maintien de la session d’authentification et sécurité. Ils sont HttpOnly et sécurisés, et ne servent pas à vous suivre.
Aucun cookie publicitaire, aucun traceur ni outil d’analyse tiers (type Google Analytics) n’est utilisé. Conformément à la nLPD, ces cookies strictement nécessaires ne requièrent pas de bandeau de consentement. Si un outil de mesure d’audience était introduit à l’avenir, une information et un consentement appropriés seraient mis en place.
Suivi des erreurs
Pour garantir la fiabilité du service, les erreurs techniques sont enregistrées dans un outil auto-hébergé en Suisse. Les données sensibles (cookies, jetons d’authentification, informations nominatives) sont retirées avant enregistrement, et aucune de ces informations n’est transmise à un prestataire externe.
Modifications et version
La présente déclaration peut être mise à jour pour refléter l’évolution du service ou du cadre légal. La version applicable est celle publiée sur cette page.
Dernière mise à jour : 14 juin 2026.